04.22
주요뉴스
뉴스홈 > 칼럼
정보보안과 법과 제도

▲ 한호현(rhhan@nahs.or.kr) 한국 해킹보안협회 전무



7.7 DDoS 공격의 여진이 여전히 지속되고 있다. 다만 그 강도는 거의 느끼기 어려울 정도이다. 어느 정도 일상으로 되돌아온 느낌이다. 지난 7.7 DDoS 공격은 정책 당국과 기업 그리고 개인에게 많은 과제를 던져주었다. 정부와 국회 등 정책 당국은 사이버테러 대응을 위한 다양한 정책을 잇달아 발표했다. 기업들도 서둘러 해킹 등에 대비한 장비를 추가로 구매하고 전문인력 채용에도 나서고 있는 상황이다. 개인들도 개인정보보호와 저작권 침해 등에 대하여 알려고 노력하는 모습을 보이고 있다. 이러한 가운데 정부가 추진하고 있는 다양한 법•제도 도입에 대하여 업계 등에서 논쟁이 한창이다. 찬반 표현에서부터 도입의 필요성 및 시기 등 그 논쟁의 주제도 너무 많고 다양하다. 이번 호에서는 이러한 논쟁 중에서 몇 가지를 추려 이해관계자들의 이야기를 전해보고자 한다.

① CISO 제도 도입과 육성
정부가 CISO(Chief Information Security Officer)의 중요성을 인식하고 앞으로 CISO 제도 도입을 추진할 것으로 보인다. CISO는 지난 호에서 살펴본 바와 같이 기업이나 기관의지적 자산 가치를 평가하고 정보통신 인프라의 전략적 활용을 책임지며, 정보보안과 관련된 전략, 정책, 표준 등의 도입 업무를 총괄하고 조직의 변화에 대한 지속적인 관리를 담당하는 매우 중요한 자리이다. 숭실대학교 이경석 교수는 CISO의 역할과 위상에 대하여 수직적인 관점보다는 수평적인 관점으로 살펴보아야 한다고 했다. CEO, CFO, CIO, CPO, CSO 등 기관이나 기업의 모든 업무 영역에 대하여 책임을 지는 자리라는 것이다.

정책 당국과 기업들은 대체적으로 CISO 도입에 대하여 찬성하는 분위기이다. CISO 제도 도입에 있어서 논란의 거리는 CISO의 역할, 자격과 강제화에 대한 것이다. 먼저 정책 당국이 정보보안책임자 지정을 강제할 수 있느냐에 대한 것이다. 일부 기업들은 정보보안책임자의 지정은 기업의 자율적인 경영에 관한 것으로 제도화에 대하여 반대하는 입장이다. 설상 CISO 제도를 받아들인다 하더라도 형식적인 임명에 그칠 것이라는 주장도 있다. 한편에서는 CISO 제도 도입에 대하여 적극적이다. 기업들이 CISO 임명과 책임 강화를 통하여 정보보안에 보다 적극적으로 나서야 한다는 것이다, 해킹 등으로 개인정보의 유출이나 서비스의 마비가 사회, 경제적으로 큰 혼란을 초래하고 있는 만큼 기업이 보다 적극적인 책임의식을 가져야 한다는 주장이다. 단순히 한 기업의 문제가 아니라는 것이다. 한 기업의 정보보안 문제가 사회 전체에 주는 영향이 너무 크기 때문이다. 전반적으로 CISO도입이 필요하다 것이 대세인 것만큼은 부인할 수 없는 상황이다.

다음으로 누가 CISO가 되어야 하는가에 대한 점이다. CISO의 역할이나 위상에 대하여는 대체적으로 큰 논란을 제기하지 않고 있다. 역할이나 위상은 기업의 형편에 맞게 정의하면 될 것이기 때문이다. 그러나 CISO의 자격에 대한 문제는 제도 도입과 관련하여 기업과 전문가간에 시각 차이가 큰 편이다.

정보보안 전문가들은 CISO 자격에 대하여 분명한 선을 그어야 한다는 것이다. 박사학위나 기술사 자격을 보유하고 최소 해당 분야에서 15년 이상의 경력을 기본적으로 갖추어야 한다는 것이다. 여기에 기업 경영에 적합한 능력을 보유해야 CISO로써의 자격이 있다고 주장한다. 정보보안은 기술적인 문제와 기업의 경영적인 문제를 복합적으로 풀어낼 수 있어야 하기 때문이라는 것이다. 이러한 관점에서 정부나 기업은 CISO 제도 도입과 정착을 위해서 반드시 CISO 양성에 나서야 한다고 주장하고 있다. 반면에 많은 기업 관계자들은 적합한 CISO 인력을 구하기 어렵다는 점에서 CISO 제도 도입에 회의적이다. 기업이 정보보안에 책임을 지면되지 굳이 CISO를 두어야 할 필요가 있느냐는 것이다. 이러한 논란에도 불구하고 CISO 제도는 반드시 필요한 제도이다. 정보보안은 한 기업의 문제가 아니다. 인터넷으로 모든 정보가 유기적으로 연계되어 있는 정보인프라 시대에서 한 기업의 문제는 곧 우리 모두의 문제이기 때문이다. 한 기업에서 유출된 개인정보가 외국으로 흘러 들어가 제2, 제3의 사고로 이어지는 것은 물론 국가 안보에도 치명적인 위협이 되기 때문이다.

② 악성프로그램 확산 방지 등에 관한 법률
정부가 악성프로그램 확산 방지를 위하여 관련 법률 도입을 추진하고 있다. 일명 '좀비PC법'이라고 일컬어지고 있다. PC 사용자와 인터넷 서비스 사업자들의 반발이 큰 사안이다. 정부는 기본적으로 이용자 PC 등 3천만대에 이르는 컴퓨터 등 정보처리장치는 인터넷 망에 연결되어 네트워크를 구성하는 부분이나 현행 침해사고 관련 법규의 사각지대에 놓여 있어 관련 법 도입이 필요하다는 것이다. 법 도입을 통하여 컴퓨터 등 정보처리 장치가 악성프로그램으로부터 공격 받거나 공격기지로 악용되는 것을 막겠다는 것이다. 정부는 통신의 자유, 표현의 자유 또는 재산권 행사의 자유, 소비자의 선택권 등 개인의 기본권을 최대한 보장할 수 있는 방법을 사용하겠다는 입장이다. 또한 사전 예방적인 활동과 대응의 실효성을 확보하기 위한 구체적인 사항을 법에 담겠다는 것이다.

그 주요 내용에서 논란이 되고 있는 사안들 중 몇 가지는 다음과 같다. '이용자는 컴퓨터 보안프로그램을 설치하고 최신 업데이트를 하여, 타인의 컴퓨터나 정보통신망에 위해를 주지 않도록 하여야 함', '대형포털, 웹 하드 서비스제공자, FTP 서버 운영자 등은 게시자료를 정기적으로 점검하여 악성프로그램을 삭제하여야 함', '방통위로부터 통보를 받거나 인지한 감염PC-> 해당 이용자에게 악성프로그램 삭제요청 -> 이용자 요청 시 기술지원 등 -> 이용자 삭제 거부 시 접속경로 차단 또는 정보통신망 -> 접속제한 등 필요조치 이행', '침해사고 원인조사 및 분석 등의 긴급조치가 필요한 경우, 방통위의 이용자 컴퓨터 등 접속요청권 명시' 등이 있다.

인터넷 서비스 사업자들은 총론에서는 전반적으로 찬성하면서도 개별적인 조치를 취하는데 있어서 상당한 비용이 수반되며 이러한 비용은 곧 이용자에게 전가되는 악순환이 될 것이라는 주장으로 좀비PC법 도입에 소극적인 입장이다. 일부 시민 단체에서는 이용자 컴퓨터 접속요청권이 사생활침해 가능성이 높다는 점을 들어 반대 의견을 보이고 있다. 또한 이러한 접속요청권이 또 다른 범죄 등에 이용될 가능성도 있다는 점도 반대 이유로 들고 있다. 아울러 이용자가 침해사고 대응을 위해 정기적으로 S/W의 보안패치 설치를 해야 한다는 선언적 의무 사항에 대하여도 반대의 의견이 있는 상황이다.

컴퓨터 이용자의 의무를 지우기에 앞서 인터넷 서비스 사업자나 정보제공자가 그 책임과 의무를 먼저 강화하여야 한다는 주장이다. 악성 프로그램의 확산 방지는 인터넷 서비스 사업자나 정보제공자가 노력하면 충분히 가능하다는 것이다. 앞으로 좀비PC법 도입 추진과 관련하여 상당한 진통이 예상된다고 할 수 있겠다. 또한 이러한 논쟁이 정리될 때까지는 상당한 시일이 소요될 전망이다. 그러나 긍정적인 요인도 많다. 지난 7.7 DDoS로 인하여 컴퓨터 이용자도 잠재적인 가해자라는 인식이 일고 있다는 점도 그 하나이다. 또한 인터넷 서비스 사업자나 정보제공자도 악성프로그램 확산에 대한 일차적인 책임이 크다는 점도 사업자간에 공감하고 있기 때문이기도 한다. 정책 당국은 관련 법 도입에 있어서 다양한 이해관계자의 의견도 중요하지만 정보보안이 국가안보에 직결된다는 점에서 보다 전향적인 자세가 필요할 것으로 보인다. 필요한 부분에 대하여는 다소 무리가 따르더라도 신속하게 추진해야 할 것으로 보인다.

③ 사회적 해법
정보보안이 지나치게 기술적이거나 법•제도 측면만을 강조하고 있다는 주장이 일고 있다. 인터넷에서 불법 복제 및 다운로드 등 범죄 행위에 대한 이용자의 인식이 근본적인 문제인데 이를 간과하고 있다는 것이다. 인터넷 범죄 행위에 대한 교육 등 사회적인 해법에 적극적으로 나서야 한다는 주장이다. 인터넷에서 발생하고 있는 상당수의 불법적인 행위가 이용자의 그릇된 인식에서 비롯되고 있다는 주장은 어제 오늘의 일이 아니다. 인터넷 사업자나 정보제공자들 또한 불법적인 행위가 발생하도록 방치하고 있는 상황에서 법•제도의 도입은 자칫 범죄자 양산에만 기여할 것이라는 극단적인 주장도 대두되고 있다.

예를 들어 인터넷에서의 저작권 문제를 살펴보자. 인터넷에 오른 글을 본다(읽거나 들음)는 이용자 관점에서 보면 그 콘텐츠가 어디에 올려져 있든 간에 동일하다. 그 콘텐츠가 원래 A사이트에 있던 것을 B사이트로 복사하여 본다고 하더라도 같다고 인식할 것이기 때문이다. 정보 제공자도 많은 이용자가 글을 읽어 주기를 기대했다는 측면에서 보면 문제가 될 것이 없다. 그럼에도 불구하고 저자의 동의 없이 A사이트에서 B사이트로 글을 복제하면 저작권 침해가 발생한다. 인식과 현실의 차이에서 오는 현상이다. 이러한 현상이 발생하는 근본적인 원인은 이용자보다는 사업자(제공자)들의 이해관계가 법•제도에 우선 반영되고 있기 때문이다. 이용자의 사회적인 인식이 정착되지도 않은 상황에서 과거의 잣대로 저작권을 적용함으로써 발생하는 문제인 것이다.

예를 들어 인터넷에서 사이트 복사에 대하여 저작권을 적용하려면 저작자가 사이트 복사 방지에 대하여 충분한 노력을 기울였는가에 대하여 그 의무를 부여할 필요가 있다. 인터넷 콘텐츠의 복제 방지를 위한 기술을 적용하였는가, 불법 복제 방지를 공지하고 있는가, 불법 복제가 되었을 때 콘테츠가 보호되도록 조치를 취하였는가, 등등에 대하여 저작자의 구체적인 노력이 있는 상태에서 저작권을 보호해주어야 한다는 주장이다. 누구나 쉽게 접근하고 콘텐츠를 이동 시킬 수 있는 인터넷 속성을 무시하고 법적인 잣대를 들이대려고 하는 것이 현실이다. 얼마 전 포르노의 불법 다운로드에 대하여 고소한 사건이주는 교훈을 되새겨 볼일이다.

이러한 관점에서 인터넷에서의 건전성을 확산하고 불법 확산 방지를 위해서 기술적이거나 법•제도 측면 보다는 사회적인 해법을 우선해야 한다는 목소리가 점차 커지고 있다. 지나치게 이용자에게 엄격해지고 있는 법•제도에 대하여 균형적인 접근이 강조되고 있다. 인터넷 서비스 사업자나 정보제공자의 사회적 책임을 요구하고 있다. 가장 현실적인 조치로 초•중•고에서부터 인터넷 윤리교육을 실시하여야 한다는 주장이다. 아울러 인터넷 서비스 사업자나 정보제공자들도 이용자에 대한 정보보안, 개인정보보안, 인터넷 침해 범죄 등에 대하여 체계적인 캠페인 등을 통하여 인식개선 활동에 나서야 한다고 주장하고 있다. 이 같은 해법이야 말로 그 어떠한 기술적인 방법이나 법•제도 보다 실효성이 높을 것이라고 보고 있다. 인터넷 범죄나 침해를 예방하기 위하여 기술개발이나 법•제도의 도입은 필요할 것이다. 그러나 무엇보다도 사회적인 해법의 도입이 우선 되지 않을 경우 자칫 사상누각에 빠질 위험성이 크다는 점을 간과해서는 아니 될 것이다.
인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오